RSAC 2025创新沙盒 | Smallstep: 设备身份验证平台 - 新鲜讯息

一. 公司介绍

今年RSAC创新沙盒10强之一的Smallstep^[1]是一家为专注于零信任、身份、证书管理的安全公司。Smallstep成立于2016年，总部位于加州，目前处于A轮融资阶段，在2022年获得了2600万美元的融资，投资方包括STEPSTONE、MHALF、boldstart等，图1是Smallstep的领投方。图2是 Smallstep的核心成员。创始人之一兼CEO的Mike Malone, 之前是Six Apart的一位软件工程师，他是开源和开放准技术的倡导者，是 Django ^[2]的贡献者（注：Django 是一个开源 Python Web 框架，鼓励快速开发）。Mike 还积极参与 OAuth 和 Activity Streams 标准的制定工作，并且是开放万维网基金会（Open Web Foundation）的成员。

图1 Smallstep的领投方

图2 Smallstep 的核心成员

Smallstep主要专注于设备的身份认证，确保只有受信任的公司自有设备才能访问组织最敏感的资源。Smallstep设备身份验证平台（Device Identity Platform™），通过与苹果和谷歌共同开发的 ACME 设备认证（ACME DA）新标准，使用硬件绑定证书。这种与硬件绑定的方式，为设备的真实身份提供了最有力的保证，可防止凭证外泄、网络钓鱼和假冒攻击。Smallstep设备身份验证平台可以保护各种资源，包括 Wi-Fi 和 VPN 网络、公共 SaaS 应用程序、内部 Web 应用程序、云服务、云 API 和 Git 资源库。通过基于硬件进行验证和密钥绑定，Smallstep 为设备安全提供了全面的解决方案，支持包括 Windows 和 Linux 在内的多种操作系统。

二. 背景介绍

提起身份认证，大家普遍会想到零信任。作为一种安全理念，零信任假设没有任何实体（用户、系统或设备）是天然可信的，所以每次访问请求都必须经过验证。在远程办公、云计算和数字化转型扩大了潜在攻击面的情况下，零信任已成为安全架构的重中之重。大多数组织机构在实践零信任的时候，都会将重点放在人的身份识别上--实施单点登录（SSO）、多因素身份验证（MFA）和用户访问策略。用户身份验证是至关重要的，但这只是成功的一半。每个终端（笔记本电脑、服务器、容器、物联网设备）也都是环境中可能受到威胁的角色。即使是比较先进的用户身份验证（SSO、MFA）也无法检测是哪个终端设备正在访问。如果员工或盗用用户凭证的攻击者可以从未经验证的笔记本电脑、虚拟机登录， “零信任 ”会失去很多价值。

这就是 “设备身份识别 ”的用武之地：它能确保只有合法的、被认可的企业设备才能连接最敏感的资源。虽然设备身份验证旨在与设备态势检查等其他终端安全措施一起使用，但其真正的优势在于防止任何未知或未经授权的设备获得访问权--即使拥有有效的用户凭据。

传统的身份验证手段，例如移动设备管理（Mobile Device Management， MDM）通常与简单证书注册协议（Simple Certificate Enrolment Protocol，SCEP）配对使用，但它们有一个严重的缺陷：很难确保是否添加了正确的机器，很难验证它是否属于组织机构，是否是想要接入的设备。这就存在被滥用的可能：例如，当网络钓鱼欺诈者泄露了用户的访问凭据时，该凭据可用于将未经授权的设备添加到用户的受管设备列表中。然后，MDM 解决方案会自动为设备提供 SCEP 配置文件，其中包括挑战，从而使设备成功从内部 CA 申请客户端证书，客户证书反过来又可以验证其他内部系统。

那么面向零信任的终端可信认证都需要满足哪些要求呢？

持续验证：每一步都必须建立信任并重新验证。如果设备被攻击，其访问权限应立即反映出这一变化。
基于硬件的证明：通过将设备凭据与硬件信任根绑定（如 TPM 芯片或 Apple 的 Secure Enclave），可以大大降低凭据被克隆或证书被欺骗的可能性。
短期证书：频繁更新证书可确保即使攻击者设法获得证书，它也会在很短的时间内失去作用。、
一致性检查：必须在所有访问渠道（从 VPN 和 Wi-Fi 到 SSH 和 Web 应用程序）中执行一致的设备检查，以避免安全态势中的盲点。

三. Smallstep的设备身份验证平台

Smallstep 使用 ACME 设备认证来签发与硬件信任根绑定的加密证书。这一过程可确保每台笔记本电脑、服务器或虚拟机都是唯一的、可验证的设备。图3 是 Smallstep的设备身份验证平台。

图3：Smallstep的设备身份验证平台

Smallstep的设备身份验证平台有以下几个特性：

基于硬件的设备身份认证：当设备申请证书时，Smallstep 会确保证书与硬件级身份绑定。
自动化的设备凭证生命周期管理：成功验证设备身份后，每个设备都会收到一份短期证书。证书会定期轮换，如果设备丢失或受到攻击，证书会立即被撤销。
无缝集成：Smallstep 与SSH、Wi-Fi、RADIUS、VPN、Git等环境实现集成，设备在请求访问时会自动出示有效证书。
一致的策略与凭证：资源在被访问的时候，都需要使用一致的设备凭证。如果设备不再受信任，就会同时被锁定在所有敏感系统之外。
中心化的审计日志：安全团队可立即查看哪些设备访问了哪些内容，并可轻松确定异常使用情况。
方便扩展：随着新设备类型（物联网传感器、容器化工作负载）的出现，可以方便的将它们集成到同一平台中。

四. Smallstep的使用场景

安全开发：研发工程师通常拥有本地开发机器。如何确保代码提交仅来自经过批准的公司设备？每台开发者笔记本电脑都会收到一份硬件绑定证书。Git 服务器会拒绝任何没有有效设备证书的提交。

远程办公：工作团队在多个地点使用 VPN、Wi-Fi 和网络应用程序,自带设备增加了复杂性。如何确保连接仅限于经批准的企业设备？只有具有短期认证证书的设备才能访问，确保远程会话来自真正的企业终端设备。

跨平台证书管理：用户有 Windows、macOS 和 Linux 系统，还有云实例。如何为不在 MDM 中的设备获取证书和配置？Smallstep 的平台可为每个操作系统和容器化应用程序颁发证书，确保每台机器都能无缝进行身份验证。MDMs工具都缺乏对Linux的支持，例如Intune只支持windows，Jamf只支持Mac。图4展示了Smallstep支持跨平台的证书管理。

图4：Smallstep支持跨平台的证书管理

五. Smallstep 背后的技术：TPM

如何安全可信的识别一个终端设备？解决这一问题的方法之一是增加一个专用于安全存储和计算的硬件模块。硬件模块有多种形式，如集成在 CPU 中，或作为专用硬件设备。硬件模块可提供的功能包括密钥安全存储、伪随机数生成器和安全计算。利用这些功能，就可以将信任锚定在硬件模块上，而不必信任整个设备硬件。由于硬件模块的功能、物理组件和固件通常少于完整设备，因此更容易验证其安全属性，从而减少了整体攻击面。

可信平台模块（TPM）是一种提供身份验证方法的硬件。TPM 是一种使用标准接口的安全协处理器。可信计算小组（TCG）制定了接口规范，其当前版本为 2.0。标准接口规定每个 TPM 都有一个背书密钥 (EK)--这是 TPM 制造商在制造时创建或注入的私人密钥。私钥无法从 TPM 中提取，但 TPM 制造商会对其公开部分进行认证。

EK 的一个特殊属性是它不能用来签署数据，因此不能直接用来证明设备的身份。EK 只能解密用其公钥加密的数据。TPM 模块内置的密钥使用限制实现了 EK 的这一特性。这是一个有意为之的设计决策，目的是防止 TPM 被用于识别设备的追踪目的。因此，证明其身份需要一个稍微复杂的过程，即设备身份验证。这一过程涉及（平台）证明者、（平台）验证者和 TPM，其工作原理如下：

证明者从TPM中获取EK证书。
证明者给TPM发指令，让TPM生成AK以及对应的证书，其中包含特定于应用的标识符，如唯一的设备 ID。
证明者结合AK和EK的证书，将它们发送给验证者。
验证者验证 EK 证书是否由可信的 TPM 制造商签发，并将身份信息与制造过程中的数据进行交叉检查。
如果验证成功，验证者使用EK的公钥加密随机挑战。
证明者给TPM发指令解密，并将解密后的结果发送给验证者。
验证者验证所收到的明文是否是它之前生成的，如果是的话，验证者给AK生成证书，并将证书发送给证明者。

图5：TPM证明的过程

六. 小结

数字证书作为实现机器-机器之间认证的凭证，在企业间有着不可或缺的作用。机器身份的数量已经超过人类身份，并将继续倍增^[3]。证书生命周期管理（certificate life cycle management ，CLM）是一套流程，支持数字证书的发现、清点、发放（通过适当的证书颁发机构 CA）、存储、部署、撤销和更新。Smallstep则使用可信硬件TPM实现了终端设备身份的验证，帮助零信任从用户鉴权延伸到终端设备的鉴权。Smallstep也凭借这些创新特性，入选了Gartner报告“Effectively Manage Your Organization’s Certificates”^[4]。在之前的绿盟科技研究通讯公众号中，我们介绍了TPM相关技术，传统的基于TPM的应用包含可信启动、完整性度量等，感兴趣的读者可以参考^[5-7]。Smallstep能否从一众专注于AI的创业公司中脱颖而出，让我们拭目以待。

参考文献

[1] https://smallstep.com/

[2] https://www.djangoproject.com/

[3] https://www.cyberark.com/resources/ebooks/cyberark-2023-identity-security-threat-landscape-report

[4] https://www.gartner.com/document/5216363

[5] https://mp.weixin.qq.com/s/10CDEzaHEp-gUxbhq5CYvA

[6] https://mp.weixin.qq.com/s/8BXuJJOh1BY3BHq75H1zgQ

[7] https://mp.weixin.qq.com/s/showAKatT3TsN11aWRD9GQ